Reversing/리버싱 이론

ida로 바이너리를 분석하다 보면 보통 구조체는 ida에서 정의해주지 않습니다.따라서 구조체 분석이 끝난이후에는 사용자가 구조체를 직접 정의해주면 분석하기가 훨씬 편합니다. 저 같은 경우에는 두가지 방법을 주로 이용하는데,2016 seccon에 나왔던 chat문제를 예시로 설명하겠습니다. 이 함수는 tweet message를 만들어서 보내는 함수입니다.보면 0x98만큼 힙에 할당을 하는데, 분석을 해보면 count 8bytename 8bytemessage 128byteheap_addr 8byte이렇게 총 0x98바이트 구조체인것을 금방 알 수 있습니다. v5[18], (__int64)(v5+2) 이런식으로 되어있으면 위와 같이 간단할 때는 알아볼 수 있어도복잡한 바이너리 에서는 보기가 불편합니다. 따라서..

mov eax, datamov edi, destmov ecx, sizerep stos(d) 이런식의 어셈블리어가 함수 프롤로그 다음에 있으면edi주소에 해당하는 크기*size만큼 eax로 채운다.b = 1, w = 2, d = 4 byte 이다. 따라서 만약 0x1234에 다가 0을 4바이트씩 100바이트 채우기 위해서는 lea ebx, [0x1234]mov eax, 0mov edx, 25mov edi, ebxmov ecx, edxrep stosd 대충 이런식의 명령어로 memset기능을 할 수 있다. 간단하면서도 memset함수보다 빠른 장점이 있다.

데이터 형식 범위Visual Studio 2015 다른 버전 Visual C++ 32비트 및 64비트 컴파일러는 이 문서의 뒷부분의 표에 나온 형식을 인식합니다.int (unsignedint)__int8 (unsigned__int8)__int16 (unsigned__int16)__int32 (unsigned__int32)__int64 (unsigned__int64)short (unsignedshort)long (unsignedlong)long long (unsignedlonglong)이름이 두 개의 밑줄(__)로 시작하는 경우 데이터 형식은 비표준입니다.다음 표에 지정된 범위는 포함-포함입니다.형식 이름바이트기타 이름값의 범위int4signed–2,147,483,648 ~ 2,147,483,647unsi..

IDAPython은 사용자가 다양한 기능에 접근할 수 있게 해주는 플러그인이다.[11.2] IDAPython 함수 IDAPython은 IDC와 완전 호환된다. 모든 IDC 함수는 IDAPython에서 사용 가능하다.[11.2.1] 유틸리티 함수ScreenEA() : IDA 화면에 있는 커서의 현재 위치 획득GetInputFileMD5() : IDA에 로드된 바이너리의 MD5 해시 값 획득 바이너리 버전 변경이 내용에 영향을 미치는지 확인할 때 유용[11.2.2] 세그먼트※IDA에서 바이너리는 여러 세그먼트(CODE, DATA, BSS, STACK, CONST, XTRN)로 나뉜다.FirstSeg() : 바이너리의 첫 번째 세그먼트 시작 주소 반환NextSeg() : 바이너리의 다음 세그먼트 시작 주소 반..

32비트 cpu일떄는 함수 호출규약이 여러개 있었지만 64비트로올라오면서 한개로 통합이 되었다 기존 fastcall(함수의 인자가 레지스터로 전달되는방식)호출규약을 이용한다. 64비트 레지스터로는 기존의 레지스터에서 확장된 레지스터를 사용하고(rax, rbx ,rsp등등..)8개의 레지스터가 추가되었다 (r8~r15) 스택프레임다음과 같은 C코드를 짠다고 했을 떄 123456789long myfunc(long a, long b, long c, long d, long e, long f, long g, long h){ long xx = a * b * c * d * e * f * g * h; long yy = a * b * c * d * e * f * g * h; long zz = utilfunc(xx, yy..

패킹 되어있는 프로그램 인데 그림을 보면 EDX에 0을 넣고 특정 주소영역에서 값을 읽어들여서 계속 덧셈을 하여 누적시킨다.그리고 특정 값과 비교하는데 4바이트 크기를 가지는 EDX레지스터에 이처럼 값을계속 더해나가면 overflow가 발생한다.일반적인 Checksum 계산은 이러한 overflow는 무시하고 최종적으로 EDX에 남아 있는 값을 사용한다.

EXE형식의 PE파일에서 Base Relocation Table항목은 실행에 큰 영향을 끼치지 않는다.DLL, SYS 형식의 파일은 Base Relocation Table이 거의 필수이다. VC++에서 생성된 PE파일의 Relocation 섹션 이름은 .reloc이다..reloc섹션이 제거되면 PE파일의 크기가 약간 줄어드는 효과를 볼 수 있다. PEView와 Hex editor가지고 제거를 할 수 있다. 1 - .reloc 섹션 헤더 정리2 - .reloc 섹션 제거3 - IMAGE_FILE_HEADER 수정4 - IMAGE_OPTIONAL_HEADER 수정이 과정을 통해 제거를 할 수 있다. #1 .reloc 섹션 헤더 정리위의 그림에서 offset이 270인 것을 알 수 있다.섹션헤더의 크기가 0x..

NEG : 2의 보수 (부호 반전)NOT : 1의 보수 (비트 반전) MUL : AX와 오퍼랜드 곱셈 -> AX또는 DX:AX에 저장IMUL AX 확장 ex) eax에 0x12345678가 있으면 -> 0x12340078으로 됨CWD : AX -> DX:AX 확장 SHL/SAL : 왼쪽 shiftSHR/SAR : 오른쪽 shift (SAR은 산술 shift로 최상위 비트를 유지한다고 한다.)ROL/RCL : 회전 왼쪽 shiftROR/RCR : 회전 오른쪽 shift PUSHAD : 레지스터 내용을 스택에 push (EAX, ECX, EDX, EBX, ESP, EBP, ESI, EDI 순서)PUSHFD : 플래그 레지스터 내용을 스택에 push REP : 뒤의 스트링 명령을 (E)CX가 0이 될때까지 반..

소프트 브레이크포인트 소프트 브레이크포인트(Soft Breakpoint)는 명령을 실행하는 CPU를 일시 중지시키는데 사용되며 애플리케이션을 디버깅할 때 가장 흔하게 사용되는 형태의 브레이크포인트다. 소프트 브레이크포인트는 한 바이트 명령을 사용해 디버깅 대상 프로세스의 실행을 중지시킨다. 프로세스의 실행이 중지되면 디버거의 브레이크포인트 예외 핸들러가 제어권을 전달받는다. 이 작업이 어떻게 수행되는지 이해하려면 x86 어셈블리 언어에서의 명령과 opcode의 차이점을 이해하고 있어야 한다. 어셈블리 명령은 CPU를 실행시키기 위한 명령을 하이레벨 수준으로 표현한 것이다. 예를 들면 다음과 같다. MOV EAX, EBX 이 명령은 CPU가 EBX 레지스터에 있는 값을 EAX 레지스터에 저장하라는 의미로,..

스택프레임EBP(베이스 포인터)레지스터를 사용하여 스택 내의 로컬 변수, 파라미터 ,복귀 주소에 접근하는 기법 ESP레지스터의 값은 프로그램 안에서 수시로 변경되기 때문에 스택에 저장된 변수, 파라미터에 접근하고자 할 때ESP 값을 기준으로 하면 프로그램을 만들기 힘들고, CPU가 정확한 위치를 참고할 때 어려움이 있다. 따라서 어떤 기준 시점(함수시작)의 ESP 값을 EBP 에 저장하고 이를 함수 내에서 유지해주면, ESP 값이 아무리 변하더라도 EBP를 기준으로 안전하게 해당 함수의 변수, 파라미터, 복귀 주소에 접근할 수 있다. 이것이 바로 EBP 레지스터의 베이스 포인터 역할이다. 스택프레임의 구조PUSH EBP ;함수시작(현재 EBP를 스택에 저장)MOV EBP, ESP ;현재의 ESP(스택포인..

1. PE 구조 개요Microsoft의 운영 체제 Windows 3.1부터 지원되는 실행파일의 구조를 말한다. 다양한 운영 체제에서의 이식성을 보여준다는 뜻에서 이식이 가능한 실행 형식(Portable Executable)이라는 이름을 붙였다. PE 파일의 종류는 다음과 같다.•실행 파일 계열 : EXE, SCR(Screen Saver)•라이브러리 계열 : DLL, OCX(Active X)•드라이브 계열 : SYS•오브젝트 파일 계열 : OBJ 사용할 툴 : HxD분석대상 : Notepad.exe 전체적인 PE 파일의 구조는 다음과 같다. 2. DOS_Header (PE Header > DOS_Header) "4D 5A"로 시작하는 부분부터 64Byte까지가 Image_Dos_Header 부분이다. 이 ..

1. 함수 호출 규약 개요함수 호출 규약(Calling Convention)이란, 함수를 호출하는 방식에 대한 약속이다. 함수 호출 규약은 인자 전달 방법, 인자 전달 순서, Stack Frame을 정리하는 방법에 따라 그 종류를 구분한다. 예시 코드를 분석해 각 호출 규약의 특징과 진행 과정을 알아본다. ▶Stack Frame함수를 호출 할 때 상위에서 진행하던 함수의 정보를 저장하고 인자를 전달하기 위해 Stack Frame이라는 구조를 사용한다. Stack Frame은 함수의 호출 과정에서 호출되는 함수가 사용하기 위해 할당되는 Stack의 공간을 의미한다.프로그램이 실행되면 가장 먼저 Main 함수의 Stack Frame을 할당한다. Main함수가 A 함수를 호출하면서 A의 Stack Frame을..